sql >> Database >  >> RDS >> Mysql

PHP-cookie om de gebruiker ingelogd te houden - is dit veilig genoeg?

Ik neem aan dat dit wordt gedaan naast de normale sessieafhandeling om de sessie later opnieuw te maken.

Er zijn een paar dingen die gedaan kunnen worden om de beveiliging te verbeteren.

  1. Gebruik SSL, maakt het onderscheppen van cookies veel moeilijker.
  2. Genereer de cookie-hash na elk gebruik. Het zou slechts geldig moeten zijn voor één login.
  3. Als je dit opslaat als 1 cookie voor 1 gebruiker, werkt het niet als de gebruiker zich op meerdere apparaten bevindt (cookie van het eerste apparaat wordt overschreven door cookie op het tweede apparaat).
  4. Hash moet willekeurig zijn en mag geen gebruikersgegevens bevatten bij het genereren.
  5. Voor gebruikersgegevens (e-mail, wachtwoord in het bijzonder) moet een wachtwoord worden gewijzigd. Als de cookie wordt onderschept, kan de interceptor de gegevens op het account niet wijzigen.


  1. Kan ik in MySQL referentiële integriteitscontroles uitstellen tot commit?

  2. Python 3.4.0 met MySQL-database

  3. Extraheer het jaar van een datum in PostgreSQL

  4. Wat is het verschil tussen VARCHAR(255) en TINYTEXT-tekenreeksen in MySQL?